Gartner: Vergesst Microsoft Passport

Nachdem die Sicherheitslücke in Microsofts Passport-Benutzerdatenbank immer noch nicht beseitigt ist, empfehlen die Analysten beim Marktforscher Gartner sämtliche Verbindungen zum Passport-Dienst abzubrechen. Unternehmen, insbesondere Finanzhäuser, sollten mindestens bis November 2003 auf Passport verzichten oder bis Microsoft vertrauensvoll darlegen kann, dass der Dienst tatsächlich sicher ist. Zudem sollten die Unternehmen ihre Kunden dringend auf die Lücke und die Empfehlungen von Microsoft hinweisen.

Gegenüber US-Medien äußerte Calum Russel, Marketing-Manager für IT-Infrastrukturen bei Microsoft Australien, dass Gartners Empfehlungen nicht sonderlich konstruktiv seien. Man habe auf den Vorfall angemessen reagiert und gezeigt, dass die Sicherheitsprozesse bei Microsoft funktionieren. Der Gartner-Bericht hingegen verurteilt die Prozesse: Die Verantwortlichen bei Microsoft hätten es versäumt, die Sicherheitsarchitektur hinreichend zu testen. Das gebe genügend Anlass, die Integrität sämtlicher Benutzerdaten anzuzweifeln, die seit der Einführung des fehlerhaften Features vor sechs Monaten angelegt wurden.

Russel sieht zwar ein, dass der Fehler unentschuldbar ist, wie er US-Medien mitteilte, aber weist auch darauf hin, dass jeder Nutzer für sich selbst leicht einen Einbruch in sein Account feststellen könne: Bei wem die Anmeldung mit dem gewohnten Kennwort fehlschlage, der solle davon ausgehen, dass das Konto kompromittiert wurde.

Gartner hält die Gefährdung durch die Sicherheitslücke, die offenbar seit Bestehen von Passport existiert, für "sehr groß". Sie ermöglicht es einem Angreifer, Passwörter von bekannten Accounts zurückzusetzen und anschließend neu zu setzen. Dadurch können nicht nur die persönlichen Daten der Benutzer kompromittiert werden, sondern auch deren Kreditkartennummer ausgelesen werden. (ola)